.st0{fill:#FFFFFF;}

DSGVO, TTDSG & Cookies

Wichtige Datenschutz-Themen von Profis aufbereitet

DSGVO, TTDSG & Cookies

Am 1. Dezember 2021 ist das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft getreten. Hintergrund des neuen Gesetzes ist die langersehnte Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) in nationales Recht. Das neue Gesetz bringt im Hinblick auf Cookies nach vielen Jahren nun endlich sowohl für Unternehmer als auch Verbraucher Rechtssicherheit.


Das Wichtigste in Kürze

  • Das TTDSG ergänzt die Datenschutzvorschriften für internetbasierte Angebote – insbesondere im Hinblick auf den Einsatz von Cookies – aus der DSGVO.
  • Vom TTDSG wird im Gegensatz zur DSGVO nicht nur die Verarbeitung personenbezogener Daten erfasst, sondern auch solcher, die keinen Personenbezug haben.
  • Bei einer Verarbeitung personenbezogener Daten unter Einsatz digitaler Dienste muss seit dem 1. Dezember 2021 das TTDSG und die DSGVO beachtet werden.

    1. Verhältnis von TTDSG und DSGVO

    Grundsätzlich ist das Verhältnis des neuen Gesetzes zur DSGVO noch nicht abschließend geklärt. Mit dem TTDSG bezweckt der Gesetzgeber primär die Anpassung der bisher geltenden Bestimmungen im Telekommunikationsgesetz (TKG) und des Telemediengesetzes (TMG) an die DSGVO. Insbesondere soll das TTDSG die Datenschutzvorschriften für internetbasierte Angebote – insbesondere im Hinblick auf den Einsatz von Cookies – aus der DSGVO ergänzen. Ferner erfasst das neue TTDSG im Gegensatz zur DSGVO nicht nur personenbezogene Daten, sondern darüber hinaus auch solche, die keinen Personenbezug aufweisen, sodass bei einer Verarbeitung personenbezogener Daten unter Einsatz von digitalen Diensten, fortan sowohl die Bestimmungen des TTDSG als auch die der DSGVO zu beachten sind.

    Da die Verwendung von Cookies oftmals zu einer Nachverfolgung des Nutzerverhaltens erfolgt, liegt regelmäßig auch eine Verarbeitung personenbezogener Daten vor, sodass nach § 25 Abs. 1 S. 2 TTDSG sowohl die Bestimmungen des TTDSG als auch die der DSGVO beachtet werden müssen.


    2. Spezielle Bestimmungen des TTDSG vorrangig

    Im Falle einer Kollision des TTDSG mit der DSGVO ist die Kollisionsregelung des Art. 95 DSGVO anzuwenden. Danach werden dem datenschutzrechtlich Verantwortlichen keine zusätzlichen Pflichten durch die DSGVO auferlegt, wenn bereits die ePrivacy-Richtlinie besondere Pflichten vorsieht, die dasselbe Ziel wie die DSGVO verfolgen. Da es sich bei dem TTDSG um eine Umsetzung der ePrivacy-Richtlinie handelt, gilt die Kollisionsregel auch für das TTDSG. Werden im konkreten Anwendungsbereich des TTDSG Daten verarbeitet, die einen Personenbezug aufweisen, ist das TTDSG demnach vorrangig anzuwenden.


    3. Erforderlichkeit der Einwilligung bei Cookies

    Die neue Regelung des TTDSG in § 25 schreibt vor, dass sowohl beim Zugriff auf Informationen, die auf Endgeräten der Endnutzer gespeichert sind, als auch bei der Speicherung von Informationen auf Endgeräten, eine Einwilligung der Nutzer erforderlich ist. Die Anforderungen an die Wirksamkeit einer solchen Einwilligung entsprechen auch hier Art. 6 Abs. 1 S. 1 lit. a) DSGVO.

     
    Jedoch ist diesen Anforderungen ein strengeres Verständnis zugrunde zu legen. Da eine Einwilligung unter anderem nur dann wirksam ist, wenn sie informiert erfolgt, müssen Verantwortliche für den Fall, dass der jeweilige Datenverarbeitungsprozess sowohl unter die DSGVO als auch das TTDSG fällt, die Betroffenen über beide Rechtsgrundlagen separat informieren. Es ist daher erforderlich in den Datenschutzhinweisen deutlich zu machen, welche Auslese- und Speicheraktivitäten nach dem TTDSG und welche Datenverarbeitungsprozesse gemäß der DSGVO erfolgen.


    4. Ausnahme vom Einwilligungserfordernis

    Ausnahmsweise soll eine Einwilligung gem. § 25 Abs. 2 Nr. 2 TTDSG dann nicht erforderlich sein, wenn der Zugriff auf solche Informationen auf den Endgeräten oder deren Speicherung für die Bereitstellung der Dienste erforderlich ist.


    Auch wenn der Gesetzeswortlaut grundsätzlich verschiedenen Auslegungsmöglichkeiten zugänglich ist und sich insoweit die Frage stellen könnte, ob der Begriff der Erforderlichkeit ausschließlich im technischen Sinne zu verstehen ist oder auch eine wirtschaftliche Betrachtungsweise möglich wäre, ist es offensichtlich, dass der Gesetzgeber eine Ausnahme nur für die Fälle einräumen will, wenn die Cookie-Setzung für die Funktionalität der Website-Nutzung unentbehrlich ist. Technisch erforderlich sind beispielsweise solche Cookies, die es dem Anbieter erst möglich machen, dem Nutzer die aufgerufenen Dienste zur Verfügung zu stellen. Dies betrifft beispielsweise die gesamte Sitzungsverwaltung, wenn der Nutzer sich auf der Website einloggen oder Produkte in den virtuellen Warenkorb legen möchte.


    5. Ausblick

    Es bleibt abzuwarten, wie die deutschen Gerichte das TTDSG in der Praxis umsetzen werden und wie lange Unternehmen sich im Rahmen ihres Cookie-Consent-Managements daran orientieren können. Denn obwohl das Gesetz erst vor Kurzem in Kraft getreten ist, könnte es schon bald durch ein europarechtliches Regelungswerk ersetzt werden. Aktuell befindet sich die ePrivacy-Verordnung im Rechtssetzungsverfahren, die im Vergleich zur ePrivacy-Richtlinie keiner gesonderten Umsetzung ins deutsche Recht bedarf, sondern nach Inkrafttreten unmittelbar geltendes Recht in den Mitgliedstaaten darstellt, das sodann auch von den Unternehmen zwingend beachtet werden muss. Dadurch könnten aktuell getroffene Maßnahmen auf Grundlage des TTDSG hinfällig werden, sodass sämtliche Maßnahmen erneut auf den Prüfstand gestellt werden müssten.

    Datenschutzschulungen für Ihre Mitarbeiter?


    Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.